Devlery
BlogSkillsTags
Blog/AI

은행 에이전트 13종, Fiserv가 만든 감사 가능한 실행층

Fiserv agentOS는 은행 에이전트를 코어뱅킹과 결제 업무에 넣기 위한 거버넌스, 감사, 마켓플레이스 실험입니다.

은행 에이전트 13종, Fiserv가 만든 감사 가능한 실행층
AI 요약
  • 무슨 일: Fiserv가 은행용 에이전트 운영 계층 agentOS를 발표했습니다.
    • 초기 마켓플레이스는 Fiserv 자체 에이전트 4종과 서드파티 9종, 총 13종으로 시작합니다.
  • 의미: 에이전트 경쟁이 모델 호출에서 권한, 감사, 관측성을 가진 실행층으로 내려왔습니다.
  • 실무 영향: 금융권 AI 파일럿은 이제 챗봇 데모보다 코어 시스템 통합, 사람 승인, 킬스위치 설계를 요구합니다.
  • 주의점: Fiserv가 제시한 성과는 아직 초기 파일럿입니다. 2026년 8월 광범위한 출시 전까지 검증 범위가 관건입니다.

Fiserv가 2026년 5월 14일 agentOS를 발표했습니다. 이름만 보면 또 하나의 AI 운영체제식 브랜딩처럼 보입니다. 하지만 발표문을 끝까지 읽으면 흥미로운 지점은 제품 이름이 아니라 배치 장소입니다. Fiserv는 이 계층을 은행의 코어, 결제, issuer processing, servicing 업무 위에서 에이전트를 배포하고 관리하는 운영 모델로 설명합니다. 즉 "은행 직원이 쓰는 AI 도구"가 아니라 "은행 시스템 안에서 에이전트를 어떤 권한과 감사 흔적으로 움직이게 할 것인가"가 중심입니다.

발표 숫자도 단순하지 않습니다. Fiserv는 여섯 금융기관이 agentOS 공동 개발에 참여했고, 그중 두 곳은 이미 베타에서 에이전트를 운영 중이라고 밝혔습니다. 광범위한 이용 가능 시점은 2026년 8월입니다. 초기 마켓플레이스에는 Fiserv 자체 에이전트 4종과 서드파티 에이전트 9종이 올라갈 예정입니다. 자체 에이전트 목록은 Commercial Loan Onboarding, Daily Operational Analysis and Reporting, Agentic Deposit Intelligence, Agentic AML Triage Analysis입니다. 대출 온보딩, 운영 보고, 예금 인텔리전스, AML 분석이라는 구성을 보면 Fiserv가 노리는 곳은 고객 응대 챗봇의 주변부가 아니라 은행 백오피스와 리스크 업무의 반복 구간입니다.

이번 발표가 개발자에게 중요한 이유는 따로 있습니다. 에이전트가 금융 워크플로에 들어가면 "모델이 똑똑한가"보다 "누가 어떤 데이터에 접근했고, 어떤 도구를 호출했고, 왜 그 행동이 허용됐는가"가 먼저 옵니다. Fiserv의 제품 페이지는 agentOS를 "governed operating layer"라고 부르며 deterministic guardrails, policy enforcement, access controls, complete auditability, human in the loop, continuous monitoring, data security, platform-level kill switches를 전면에 둡니다. 이 표현들은 마케팅 문구이기도 하지만 동시에 에이전트 아키텍처의 체크리스트입니다. 돈이 움직이는 시스템에서는 프롬프트 품질만으로 신뢰를 만들 수 없습니다.

Fiserv agentOS의 대출 온보딩 업무 예시 이미지

챗봇이 아니라 통제면을 파는 제품

Fiserv 발표의 첫 번째 신호는 agentOS가 "앱"이 아니라 "통제면"으로 포장됐다는 점입니다. 금융기관은 이미 코어뱅킹, 카드 발급 처리, 결제, 사기 탐지, 고객 서비스, 규제 보고, 회계 조정 시스템을 갖고 있습니다. 에이전트가 이 시스템들 사이를 오가려면 단일 LLM 프롬프트보다 더 많은 것이 필요합니다. 누가 실행 주체인지, 고객 데이터는 어떤 범위에서 읽을 수 있는지, 어떤 API는 호출만 가능하고 어떤 API는 쓰기까지 가능한지, 사람 승인이 필요한 지점은 어디인지가 정해져야 합니다.

Fiserv는 agentOS가 기존 Fiserv 플랫폼 전반에서 작동한다고 말합니다. "without rebuilding your infrastructure"라는 문구도 반복합니다. 이는 은행 입장에서 매력적인 제안입니다. 생성형 AI 도입이 늦어지는 이유가 모델 접근성 부족만은 아니기 때문입니다. 대부분의 은행은 이미 데이터 계보, 감사 로그, 권한 분리, 업무 승인 흐름, 규제 대응 절차를 갖고 있습니다. 새 AI 시스템이 이 절차 밖에서 움직이면 효율을 만들기 전에 리스크가 먼저 커집니다. 그래서 Fiserv는 에이전트 성능보다 governance by design을 먼저 내세웁니다.

이 지점에서 agentOS는 최근 에이전트 플랫폼 경쟁과 맞닿습니다. 2025년 이후 에이전트 프레임워크는 빠르게 늘었습니다. LangGraph, CrewAI, LlamaIndex, OpenAI Agents SDK, Google ADK, Strands Agents 같은 이름은 개발자에게 익숙해졌습니다. 그러나 실제 조직에서 필요한 질문은 "어떤 프레임워크가 더 우아한가"에서 멈추지 않습니다. 운영팀은 세션 격리, 장기 실행, 관측성, 장애 복구, 도구 권한, 모델 교체, 감사 로그, 결제 행위, 정책 엔진까지 묻습니다. Fiserv가 은행용 마켓플레이스라는 형태를 택한 이유도 여기에 있습니다. 에이전트는 개별 앱으로 팔릴 수 있지만, 은행 안에서는 승인된 카탈로그와 실행 정책 안에서만 움직여야 합니다.

AWS AgentCore 위에 올라간 은행용 계층

Fiserv는 agentOS가 Amazon Bedrock과 Bedrock AgentCore를 사용한다고 밝혔습니다. AWS 문서 기준으로 AgentCore는 에이전트를 만들고, 배포하고, 운영하기 위한 모듈식 플랫폼입니다. Runtime은 동적 에이전트와 도구를 서버리스로 실행합니다. Gateway는 기존 API, Lambda, 서비스들을 MCP 호환 도구로 감쌉니다. Identity는 기존 ID 공급자와 연결되는 인증·권한 계층입니다. Observability는 에이전트 실행 경로와 중간 산출물을 추적합니다. Policy는 도구 호출 전 단계에서 정책을 검사합니다. Registry는 에이전트, MCP 서버, 도구, 스킬, 사용자 정의 리소스를 조직 안에서 발견하고 승인하는 카탈로그입니다.

계층AgentCore 쪽 기능은행 업무에서의 의미
실행Runtime, 세션 격리, 장기 실행대출 온보딩처럼 여러 시스템을 거치는 작업을 안정적으로 돌립니다.
도구 연결Gateway, MCP 호환 도구화기존 API와 내부 서비스를 에이전트가 호출 가능한 형태로 노출합니다.
권한Identity, Policy사용자·역할·조건별로 읽기와 쓰기 행동을 분리합니다.
감사Observability, Evaluations행동 경로, 중간 결과, 품질 신호를 사후 검증 가능한 흔적으로 남깁니다.
카탈로그Registry승인된 에이전트와 도구만 조직 안에서 발견·배포하게 만듭니다.

이 구성은 Fiserv 발표를 더 선명하게 만듭니다. Fiserv는 은행 도메인 데이터, 업무 통합, 고객 기반, 마켓플레이스 검증을 제공합니다. AWS는 실행 인프라와 정책·관측성·ID 같은 공통 계층을 제공합니다. OpenAI는 일부 Fiserv 자체 에이전트 개발과 frontier reasoning을 담당하는 협력사로 등장합니다. 세 회사의 역할을 단순화하면 Fiserv는 도메인과 배포면, AWS는 운영면, OpenAI는 추론면에 가깝습니다.

여기서 중요한 것은 모델 중립성입니다. AWS AgentCore 문서는 Bedrock 안팎의 모델을 쓸 수 있다고 설명합니다. OpenAI, Google Gemini, Anthropic Claude, Amazon Nova, Meta Llama, Mistral 같은 모델명을 예로 듭니다. Fiserv 발표에서 OpenAI가 크게 언급되지만, agentOS가 장기적으로 특정 모델 하나에 묶인 상품으로만 읽히지는 않습니다. 은행 입장에서는 모델 교체 가능성이 중요합니다. 규제, 비용, 지연시간, 데이터 위치, 위험 관리 기준이 바뀌면 모델 선택도 바뀔 수 있기 때문입니다. 에이전트 운영체제라는 표현이 허풍이 되지 않으려면, 그 운영체제는 모델보다 오래 버티는 통제 계층이어야 합니다.

13종 에이전트보다 중요한 것은 마켓플레이스의 승인 구조

초기 숫자만 보면 "4개 자체 에이전트와 9개 파트너 에이전트"가 헤드라인입니다. 하지만 더 중요한 질문은 어떤 에이전트가 마켓플레이스에 들어갈 수 있는가입니다. 일반 SaaS 마켓플레이스에서는 앱이 데이터를 읽고 쓰는 권한을 OAuth와 관리자 승인으로 통제합니다. 은행용 에이전트 마켓플레이스에서는 이보다 한 단계 더 촘촘해야 합니다. 에이전트는 자연어 입력을 해석하고, 도구를 선택하고, 여러 단계의 행동을 이어가며, 일부 작업에서는 쓰기 액션까지 수행할 수 있습니다. 같은 "대출 온보딩"이라는 이름의 에이전트라도 읽기만 하는지, 고객 파일을 갱신하는지, 내부 심사 큐를 이동시키는지에 따라 위험이 달라집니다.

Fiserv 제품 페이지는 마켓플레이스를 세 갈래로 나눕니다. Fiserv-built, financial institution-built, certified marketplace입니다. 이 구분은 플랫폼 전략의 핵심입니다. 첫째, Fiserv 자체 에이전트는 Fiserv 제품군에 가장 밀접하게 붙습니다. 둘째, 금융기관 자체 에이전트는 개별 은행의 업무 차이를 반영합니다. 셋째, 인증된 서드파티 에이전트는 생태계를 넓히지만, 동시에 검증과 책임 경계를 요구합니다. 개발자에게는 이 세 갈래가 곧 배포 모델입니다. 내부 전용 에이전트인지, Fiserv 플랫폼에 깊게 통합되는 에이전트인지, 여러 금융기관에 판매되는 파트너 에이전트인지에 따라 보안 검토, 로그 구조, 데이터 처리 계약, 장애 대응 방식이 달라집니다.

은행용 에이전트 마켓플레이스가 성공하려면 단순한 앱 목록 이상의 것이 필요합니다. 에이전트별로 사용 가능한 데이터 범위, 호출 가능한 도구, 사람 승인 단계, 실패 시 롤백 경로, 모델 변경 이력, 평가 결과, 알려진 제한 사항을 노출해야 합니다. 특히 AML, 규제 보고, 분쟁 처리, reconciliation 같은 업무는 에이전트가 틀렸을 때 비용이 곧바로 운영 리스크로 전환됩니다. 그래서 "어떤 에이전트를 살 수 있는가"보다 "그 에이전트가 어떤 정책 아래에서만 실행되는가"가 구매 기준이 됩니다.

파일럿 성과는 흥미롭지만 아직 작게 읽어야 합니다

Fiserv는 두 가지 초기 사례를 제시했습니다. Boulder Dam Credit Union은 Daily Operational Analysis Agent가 10분 걸리던 수동 보고 작업을 몇 초 수준으로 줄이는 데 도움을 준다고 말했습니다. First Interstate Bank는 Commercial Loan Onboarding Agent 파일럿을 통해 loan onboarding을 Fiserv core에 직접 자동화하고, 수동 데이터 입력과 cycle time을 줄이는 초기 결과를 봤다고 설명했습니다. 개발자와 운영팀이 관심을 가질 만한 사례입니다. 보고와 온보딩은 반복성이 높고, 여러 시스템 사이의 데이터 이동이 많으며, 에이전트가 보조하기 좋은 업무입니다.

다만 이 성과를 과대 해석하면 안 됩니다. 발표문은 정확한 표본 크기, 오류율, 예외 처리 방식, 사람 승인 비율, 장애 사례, 롤백 절차를 공개하지 않았습니다. "10분에서 몇 초"라는 숫자는 강력하지만, 어떤 보고서였는지, 자동화 전후 검증은 어떻게 했는지, 잘못된 보고 결과가 나왔을 때 어떤 통제가 작동하는지는 별도의 검증이 필요합니다. 금융권에서 중요한 것은 평균 처리 시간만이 아닙니다. 예외 케이스에서 잘 멈추는지, 설명 가능한 흔적을 남기는지, 감사를 통과할 만큼 재현 가능한지가 더 중요합니다.

이 점은 에이전트 제품 전반에 적용됩니다. AI 데모는 보통 성공 경로를 보여줍니다. 그러나 운영 시스템은 실패 경로를 먼저 설계해야 합니다. 대출 온보딩 에이전트가 필드를 잘못 매핑했을 때, AML triage agent가 위험 신호를 낮게 평가했을 때, deposit intelligence agent가 부적절한 고객 세그먼트를 만들었을 때, 누가 어떻게 알아차리고 멈추는지가 핵심입니다. Fiserv가 human in the loop와 kill switches를 강조하는 이유도 여기에 있습니다.

AWS Payments 논쟁이 보여준 신뢰의 빈칸

커뮤니티 반응은 아직 크지 않습니다. HN에서 의미 있는 토론은 찾지 못했고, Reddit r/aws에는 AgentCore를 실제 프로덕션 또는 PoC에서 써본 경험을 묻는 글이 올라왔지만 확인 시점에는 답변이 없었습니다. 다만 AgentCore Payments를 둘러싼 Reddit 토론은 agentOS를 읽는 데 도움이 됩니다. 한 사용자는 결제가 실제로 발생했는지 검증하는 것과, 그 결제가 사용자 승인 범위 안에 있었는지 검증하는 것은 다른 문제라고 지적했습니다. 결제 레일이 있다는 사실만으로 신뢰가 완성되지 않는다는 뜻입니다.

은행 에이전트도 같은 문제를 마주합니다. 예를 들어 대출 온보딩 에이전트가 필요한 문서를 모으고 내부 시스템에 입력하는 것은 비교적 낮은 위험으로 보일 수 있습니다. 하지만 그 입력이 고객의 신용 평가, 한도, 승인 큐, 규제 보고와 연결되면 권한 범위가 복잡해집니다. "에이전트가 이 API를 호출할 수 있는가"라는 질문만으로 충분하지 않습니다. "이 고객, 이 시점, 이 업무 상태, 이 담당자 권한, 이 정책 조건에서 이 행동이 맞는가"까지 봐야 합니다. 이는 일반적인 API authorization보다 더 문맥적인 문제입니다.

그래서 금융권 에이전트의 신뢰 계층은 세 겹으로 나뉠 가능성이 큽니다. 첫째, 신원과 인증입니다. 에이전트는 독립된 주체가 아니라 특정 사용자, 조직, 역할, 위임 범위에 묶여야 합니다. 둘째, 정책과 행동 제한입니다. 도구 호출 전에 허용 여부를 결정하고, 쓰기 행동에는 조건과 승인 단계를 붙여야 합니다. 셋째, 행동 패턴과 사후 검증입니다. 정상적인 업무 흐름에서 벗어난 호출, 평소와 다른 데이터 접근, 반복되는 실패를 관측하고 중단해야 합니다. Fiserv agentOS가 성공하려면 바로 이 세 번째 층까지 운영 품질을 보여줘야 합니다.

개발자에게 바뀌는 설계 기준

이 발표는 은행 개발자만의 이야기가 아닙니다. 규제 산업, 엔터프라이즈 SaaS, B2B 백오피스 제품을 만드는 팀이라면 비슷한 압력을 받게 됩니다. 이제 에이전트 기능을 붙인다는 것은 채팅 UI를 얹는 일이 아닙니다. 권한 모델을 다시 설계하고, 도구 호출을 정책 엔진 앞에 세우고, trace를 남기고, 평가 데이터를 모으고, 관리자에게 정지 버튼을 제공하는 일입니다. 특히 에이전트가 "읽기"를 넘어 "쓰기"로 가는 순간 제품 요구사항이 바뀝니다.

첫 번째 기준은 identity-bound execution입니다. 에이전트가 누구의 권한으로 움직이는지 명확해야 합니다. 서비스 계정 하나에 모든 권한을 몰아주는 방식은 편하지만, 감사와 책임 분리에 취약합니다. 두 번째 기준은 tool-level policy입니다. 프롬프트에 "하지 말라"고 쓰는 것과 도구 호출을 실제로 막는 것은 다릅니다. 세 번째 기준은 observability입니다. LLM 호출 로그만으로는 충분하지 않습니다. 어떤 도구가 어떤 입력으로 호출됐고, 중간 판단은 무엇이었으며, 결과가 어떤 시스템 상태 변화를 만들었는지 추적해야 합니다. 네 번째 기준은 evaluation입니다. 에이전트는 배포 전 테스트뿐 아니라 배포 후 행동 품질을 계속 측정해야 합니다.

이 기준은 에이전트 프레임워크 선택에도 영향을 줍니다. 개발팀은 더 이상 "빠르게 데모를 만들 수 있는가"만 보지 않을 것입니다. 기존 ID 공급자와 붙는지, 내부 API를 안전하게 도구화할 수 있는지, MCP 서버와의 연결을 관리할 수 있는지, trace를 OpenTelemetry나 기존 관측성 스택으로 보낼 수 있는지, 모델을 바꿔도 정책과 로그가 유지되는지를 보게 됩니다. Fiserv가 AWS AgentCore 위에 은행 도메인 계층을 올린 것은 이런 요구가 수평 인프라와 수직 도메인 플랫폼의 조합으로 풀릴 가능성을 보여줍니다.

OpenAI의 역할은 모델 공급자를 넘어서는 신호

OpenAI는 이번 발표에서 전략 협력사로 등장합니다. Fiserv는 일부 자체 에이전트를 OpenAI와 개발한다고 설명했고, OpenAI 엔터프라이즈 담당 임원은 servicing, compliance, fraud, payments, operations 같은 은행 워크플로에 frontier AI를 가져오는 협력을 언급했습니다. 이 대목은 OpenAI가 단순히 API 모델을 제공하는 위치를 넘어, 특정 산업 워크플로의 에이전트 설계에 더 깊게 들어가려는 흐름과 맞닿습니다.

하지만 Fiserv의 장기 가치는 OpenAI만으로 설명되지 않습니다. 은행은 하나의 모델 공급자에 모든 실행 책임을 맡기기 어렵습니다. 비용, 지연시간, 데이터 경계, 규제 설명 가능성, 벤더 리스크 때문에 멀티모델 전략을 선호할 수 있습니다. 따라서 OpenAI 협력은 초기 에이전트 품질과 reasoning 능력의 신호로 읽되, agentOS의 지속성은 모델 위의 통제 계층에서 판단하는 편이 맞습니다. Fiserv가 "OpenAI 기반 은행 에이전트"가 아니라 "은행용 agentic operating system"이라고 부르는 이유도 그 차이를 의식한 것으로 보입니다.

관전 포인트는 2026년 8월 이후입니다

agentOS의 첫 번째 관전 포인트는 광범위한 출시 이후 실제 에이전트 카탈로그입니다. 발표문은 4개 자체 에이전트와 9개 서드파티 에이전트를 말하지만, 어떤 파트너가 어떤 업무를 담당하는지, 각 에이전트의 권한·데이터·평가 기준이 어떻게 공개되는지는 아직 제한적으로만 보입니다. 두 번째 관전 포인트는 파일럿 성과의 반복 가능성입니다. 10분 보고를 몇 초로 줄인 사례가 여러 금융기관과 여러 보고 유형에서 재현되는지, 오류율과 승인 비율은 어떤지 봐야 합니다.

세 번째 관전 포인트는 책임 경계입니다. 에이전트가 잘못된 업무 조치를 했을 때 Fiserv, 금융기관, 서드파티 에이전트 공급자, 모델 공급자, 인프라 공급자 사이의 책임이 어떻게 나뉘는지가 중요합니다. 에이전트 마켓플레이스는 앱스토어처럼 보일 수 있지만, 금융권에서는 앱스토어보다 훨씬 무거운 계약과 감사 체계를 요구합니다. 네 번째 관전 포인트는 표준화입니다. MCP, A2A, x402 같은 프로토콜이 에이전트 생태계에서 빠르게 거론되고 있지만, 은행 안에서 실제 신뢰 기준으로 굳어지려면 ID, 위임, 취소, 결제, 행동 감사가 함께 정리돼야 합니다.

이번 Fiserv 발표는 "은행도 AI 에이전트를 쓴다"는 단순한 뉴스가 아닙니다. 더 정확히는 에이전트가 규제된 업무로 들어갈 때 필요한 플랫폼 형태가 무엇인지 보여주는 신호입니다. 모델은 계속 바뀔 것입니다. 프레임워크도 바뀔 것입니다. 하지만 에이전트가 코어 시스템을 읽고, 업무를 이동시키고, 결제와 리스크 판단에 가까워질수록 오래 남는 것은 실행 경계와 감사 구조입니다. Fiserv agentOS가 흥미로운 이유는 바로 그 지루하지만 필수적인 층을 상품의 중심에 놓았기 때문입니다.